Carte des Menaces Cyber 2025-2026 : Threat Landscape

Le paysage des menaces cybersecurite 2025-2026 connait une transformation sans precedent. Avec une augmentation de 67% des attaques par ransomware, l'emergence de l'IA offensive comme vecteur d'attaque a part entiere, et la sophistication croissante des groupes APT etatiques, les organisations font face a un environnement de menaces plus complexe et dynamique que jamais. Cette carte des menaces offre un panorama exhaustif des douze categories majeures de cybermenaces, cartographiees selon le framework MITRE ATT&CK, afin de fournir aux RSSI, DSI et consultants cybersecurite une vision claire et actionnable du threat landscape actuel. Des infrastructures critiques aux environnements cloud natifs, des systemes Active Directory aux dispositifs IoT industriels, aucun perimetre n'est epargne. Ce guide detaille pour chaque categorie les techniques d'attaque, les groupes menacants, les statistiques cles et les recommandations de defense prioritaires pour anticiper et contrer les menaces de demain.

Methodologie et Sources d'Analyse

Cette cartographie des menaces repose sur l'analyse croisee de multiples sources de Threat Intelligence reconnues a l'echelle internationale. Notre methodologie combine une approche quantitative — basee sur les statistiques d'incidents rapportes — et qualitative — fondee sur l'analyse des tactiques, techniques et procedures (TTP) observees sur le terrain par les equipes de reponse aux incidents.

Sources primaires

Les donnees presentees dans cet article sont issues de l'agregation et de la correlation des rapports suivants, publies entre septembre 2024 et mars 2025 :

• ENISA Threat Landscape 2024 — le rapport annuel de l'Agence europeenne pour la cybersecurite, reference pour le panorama des menaces en Europe
• ANSSI — Panorama de la cybermenace 2024 — le rapport du CERT-FR detaillant les menaces specifiques au tissu numerique francais
• Mandiant M-Trends 2025 — analyse terrain des incidents de securite avec metriques de dwell time et vecteurs d'intrusion initiaux
• CrowdStrike Global Threat Report 2025 — cartographie des groupes adverses (Bears, Pandas, Kittens, Spiders) et de leurs evolutions tactiques
• Verizon DBIR 2025 — analyse statistique massive couvrant plus de 30 000 incidents de securite confirmes
• MITRE ATT&CK v15 — framework de reference pour la classification des techniques adverses utilise tout au long de cet article

Framework de classification : MITRE ATT&CK

Chaque categorie de menace presentee dans cet article est mappee sur les tactiques et techniques du framework MITRE ATT&CK Enterprise v15. Ce mapping permet aux equipes SOC et aux RSSI de traduire directement les menaces identifiees en regles de detection, en controles de securite et en scenarios de test pour les exercices de Purple Team. Les identifiants de technique (par exemple T1486 pour le chiffrement de donnees) sont references systematiquement pour faciliter cette transposition operationnelle.

Perimetre et limitations

Ce panorama couvre la periode de juillet 2024 a mars 2025, avec des projections pour le reste de l'annee 2025 et l'annee 2026. Il se concentre sur les menaces ciblant les organisations europeennes et francophones, bien que la plupart des groupes adverses operent a l'echelle mondiale. Les donnees quantitatives sont issues des incidents effectivement rapportes et analyses ; le « chiffre noir » des attaques non declarees reste par definition non quantifiable, bien que les estimations suggerent qu'il represente entre 40% et 60% du volume reel des incidents.

Taxonomie des menaces adoptee

Pour structurer cette analyse, nous avons adopte une taxonomie en douze categories de menaces, chacune correspondant a un chapitre de cet article. Cette classification s'inspire de la taxonomie ENISA tout en l'adaptant aux realites operationnelles des organisations francophones. Chaque categorie est analysee selon quatre dimensions : les techniques d'attaque observees (mappees sur MITRE ATT&CK), les groupes de menaces actifs et leurs motivations, les statistiques d'incidents et tendances quantitatives, et les recommandations de defense prioritaires. Cette approche structuree permet aux lecteurs de naviguer directement vers les menaces les plus pertinentes pour leur contexte sectoriel et leur profil de risque.

Il est important de noter que ces categories ne sont pas mutuellement exclusives. Une attaque de ransomware peut etre initiee via une compromission supply chain, utiliser des techniques d'IA offensive pour le phishing initial, exploiter des vulnérabilites Active Directory pour le mouvement lateral, et cibler des environnements cloud et OT simultanement. Cette convergence des vecteurs de menaces rend la defense en profondeur et l'approche holistique de la securite plus essentielles que jamais.

Ransomware et Extortion : la Menace Dominante

Le ransomware conserve sa position de menace numero un pour les organisations de toutes tailles et de tous secteurs en 2025-2026. Avec une augmentation de 67% des attaques par double extortion et un montant moyen de rancon atteignant 1,54 million de dollars, l'ecosysteme du ransomware s'est industrialise a un degre sans precedent. Les groupes criminels fonctionnent desormais comme de veritables entreprises, avec des programmes d'affiliation, des services client, et meme des « garanties » de recuperation des donnees apres paiement.

Evolution du modele : de la simple extortion a la triple extortion

L'evolution du ransomware suit une trajectoire claire vers une sophistication accrue des mecanismes de pression sur les victimes. Le modele initial de simple chiffrement des donnees (single extortion) a cede la place a des schemas de plus en plus complexes et devastateurs.

La double extortion, popularisee par le groupe Maze en 2019 puis generalisee par LockBit et BlackCat/ALPHV, combine le chiffrement des donnees avec leur exfiltration prealable. L'attaquant menace de publier les donnees sur un site de fuite (leak site) si la rancon n'est pas payee. Ce modele est devenu le standard de l'industrie du ransomware en 2024-2025, utilise dans plus de 82% des attaques.

La triple extortion ajoute une troisieme couche de pression : une attaque DDoS contre l'infrastructure de la victime, ou le harcelement direct des clients, partenaires ou employes dont les donnees ont ete volees. Ce modele est en forte progression, observe dans 23% des cas en 2025 contre seulement 8% en 2023.

Certains groupes pratiquent desormais une quadruple extortion en ajoutant des menaces de signalement aux regulateurs (CNIL, autorites sectorielles) ou la vente aux encheres des donnees sur le dark web. Cette tactique exploite directement les obligations reglementaires (RGPD, NIS2) comme levier de pression supplementaire.

L'ecosysteme Ransomware-as-a-Service (RaaS)

Le modele Ransomware-as-a-Service (RaaS) a profondement transforme le paysage du ransomware en abaissant considerablement la barriere technique a l'entree. Les developpeurs de ransomware fournissent une infrastructure complete a des « affilies » qui se chargent de l'intrusion initiale et du deploiement, en echange d'une commission de 20% a 40% sur les rancons collectees.

Principaux groupes ransomware actifs en 2025-2026

Groupe	Modele	Cibles principales	Rancon moyenne	Technique MITRE
LockBit 4.0	RaaS	Multi-secteurs	1,8 M$	T1486, T1490
BlackBasta	RaaS	Industrie, Sante	2,1 M$	T1486, T1048
Cl0p	Extortion pure	Supply chain (MOVEit)	3,2 M$	T1190, T1567
Play	RaaS	PME, Collectivites	0,8 M$	T1486, T1021
Akira	RaaS	Education, PME	0,6 M$	T1486, T1071
Royal/BlackSuit	RaaS	Infrastructures critiques	2,5 M$	T1486, T1562
Rhysida	RaaS	Sante, Gouvernement	1,2 M$	T1486, T1027
Hunters International	RaaS	Multi-secteurs	1,5 M$	T1486, T1059

Pour une analyse approfondie des strategies de defense contre le ransomware, consultez notre article dedie : Ransomware 2026 : Strategies de defense pour l'entreprise.

Ciblage des environnements de virtualisation

Une tendance majeure observee en 2025 est le ciblage systematique des hyperviseurs VMware ESXi et des environnements de virtualisation. Les groupes comme BlackBasta et Akira deploient des variants Linux/ESXi specifiquement concues pour chiffrer les machines virtuelles en masse, paralysant ainsi l'ensemble de l'infrastructure en une seule operation. Cette technique (T1486 — Data Encrypted for Impact) est particulierement devastatrice car elle contourne les solutions de securite deployees dans les VM invitees. Les attaquants exploitent les vulnerabilites des interfaces de gestion ESXi (CVE-2024-37085) ou les identifiants par defaut pour acceder a l'hyperviseur.

Statistiques cles du ransomware 2025

Indicateurs ransomware 2024 vs 2025

Indicateur	2024	2025	Evolution
Nombre d'attaques rapportees	4 368	7 295	+67%
Rancon moyenne demandee	924 K$	1,54 M$	+67%
Rancon mediane payee	400 K$	620 K$	+55%
Temps moyen de chiffrement	4,5 heures	2,8 heures	-38%
Taux de double extortion	71%	82%	+11 pts
Organisations payant la rancon	37%	29%	-8 pts
Temps moyen de recuperation	22 jours	24 jours	+9%

APT et Espionnage Etatique : Geopolitique du Cyberespace

Les groupes APT (Advanced Persistent Threat) sponsorises par des Etats-nations representent la menace la plus sophistiquee et la plus persistante du paysage cyber 2025-2026. Ces acteurs disposent de ressources quasi illimitees, de chaines d'approvisionnement en zero-days, et d'objectifs strategiques qui les rendent particulierement dangereux pour les infrastructures critiques, les operateurs d'importance vitale (OIV) et les entreprises positionnees sur des secteurs geopolitiquement sensibles.

Russie : Bears dans le cyberespace

APT28 (Fancy Bear / Forest Blizzard), attribue au GRU (renseignement militaire russe), continue de cibler les institutions gouvernementales europeennes, les think tanks de politique etrangere et les organisations liees a l'OTAN. En 2024-2025, le groupe a considerablement evolue ses TTP en exploitant des vulnerabilites dans les solutions de messagerie (Microsoft Exchange, Zimbra) et les appliances VPN (Cisco ASA, Ivanti). La technique T1190 — Exploit Public-Facing Application reste leur vecteur d'acces initial privilegie.

APT29 (Cozy Bear / Midnight Blizzard), lie au SVR (renseignement exterieur russe), s'est distingue en 2024 par la compromission reussie de Microsoft Corporate via une attaque de password spraying sur un compte de test legacy. Ce groupe excelle dans les operations de longue duree (low and slow), utilisant des techniques de T1550 — Use Alternate Authentication Material et de mouvement lateral furtif via les APIs cloud (Microsoft Graph, Azure AD).

Chine : la montee en puissance de Volt Typhoon

Volt Typhoon, identifie par Microsoft et confirme par la CISA en 2024, represente un changement de paradigme dans les operations cyber chinoises. Contrairement aux groupes APT chinois traditionnels focalises sur l'espionnage economique, Volt Typhoon s'est pre-positionne dans les reseaux d'infrastructures critiques americaines et alliees (energie, eau, transports, telecommunications) avec l'objectif probable de pouvoir perturber ces infrastructures en cas de conflit geopolitique. Ce groupe est remarquable par son utilisation exclusive de techniques Living off the Land (T1218, T1059.001), rendant la detection extremement difficile car il n'utilise aucun malware personnalise.

Salt Typhoon a ete revele fin 2024 comme ayant compromis au moins neuf operateurs de telecommunications majeurs, accedant aux systemes d'ecoute legale (lawful intercept) et aux metadonnees d'appels de hauts responsables. Cette operation illustre le ciblage croissant du secteur des telecommunications comme pivot strategique pour l'espionnage de masse.

Coree du Nord : Lazarus et le financement du regime

Le groupe Lazarus (Hidden Cobra) et ses sous-groupes (BlueNoroff, Andariel) continuent de se distinguer par leur double mission : espionnage strategique et generation de revenus pour le regime nord-coreen. En 2024-2025, les vols de cryptomonnaies attribues a Lazarus depassent les 1,7 milliard de dollars cumules. Le groupe cible desormais les developpeurs et les projets DeFi via des campagnes de social engineering sophistiquees sur LinkedIn et GitHub, utilisant de fausses offres d'emploi pour deployer des implants (T1566.003 — Spearphishing via Service).

Mapping MITRE ATT&CK des groupes APT principaux

Cartographie MITRE ATT&CK des principaux groupes APT (2024-2025)

Groupe APT	Attribution	Acces Initial	Execution	Persistance	Evasion	Objectif
APT28	Russie/GRU	T1190, T1566	T1059.001	T1547.001	T1036	Espionnage politique
APT29	Russie/SVR	T1078, T1195	T1059.003	T1098	T1550	Espionnage strategique
Volt Typhoon	Chine/MSS	T1190	T1059.001	T1078	T1218	Pre-positionnement
Salt Typhoon	Chine/MSS	T1190	T1059	T1505	T1027	Espionnage telecom
Lazarus	Coree du Nord	T1566.003	T1204	T1543	T1140	Vol financier + espionnage
MuddyWater	Iran/MOIS	T1566.001	T1059.001	T1053	T1036	Espionnage regional
Sandworm	Russie/GRU	T1190	T1059	T1505.003	T1070	Sabotage ICS/OT

Attaques Supply Chain : le Maillon Faible du Numerique

Les attaques sur la chaine d'approvisionnement logicielle se sont imposees comme l'une des menaces les plus redoutees du paysage cyber 2025-2026. En exploitant la confiance accordee aux fournisseurs, aux bibliotheques open source et aux pipelines CI/CD, les attaquants parviennent a compromettre des milliers d'organisations en une seule operation, avec un effet multiplicateur considerable.

L'heritage de SolarWinds et la systemique du risque

L'attaque SolarWinds (2020), attribuee a APT29, a inaugure l'ere moderne des attaques supply chain d'envergure. La compromission de la mise a jour Orion a affecte plus de 18 000 organisations, dont des agences gouvernementales americaines. Cinq ans plus tard, les lecons de SolarWinds n'ont ete que partiellement integrees : selon le Verizon DBIR 2025, les attaques impliquant un tiers ont augmente de 68% par rapport a l'annee precedente, representant desormais 15% des breaches confirmees.

La compromission XZ Utils : une alerte pour l'open source

La decouverte en mars 2024 d'une backdoor dans la bibliotheque de compression XZ Utils (CVE-2024-3094) a mis en lumiere la vulnerabilite systemique de l'ecosysteme open source. Un contributeur malveillant, operant sous le pseudonyme « Jia Tan » pendant plus de deux ans, avait progressivement gagne la confiance du mainteneur principal avant d'injecter du code malveillant dans le processus de build. La backdoor, qui ciblait les serveurs OpenSSH via la liblzma, aurait pu compromettre une portion significative de l'infrastructure Internet mondiale si elle n'avait pas ete decouverte fortuitement par un ingenieur de Microsoft.

Pour une analyse detaillee des mesures de prevention contre les attaques supply chain, consultez notre guide : Supply Chain Attack 2026 : Prevention et detection.

Empoisonnement des depots de paquets

L'empoisonnement des registres de paquets (npm, PyPI, RubyGems, NuGet) connait une croissance exponentielle et represente une menace systemique pour l'ensemble de l'ecosysteme logiciel mondial. En 2024, plus de 245 000 paquets malveillants ont ete identifies et supprimes des principaux registres, soit une augmentation de 156% par rapport a 2023. Les techniques d'attaque incluent le typosquatting (publication de paquets aux noms similaires a des bibliotheques populaires), le dependency confusion (exploitation de la resolution de dependances privees/publiques) et la compromission de comptes de mainteneurs legitimes via des campagnes de phishing ciblees ou le vol de tokens d'authentification.

Attaques sur les pipelines CI/CD

Les pipelines d'integration et de deploiement continus (CI/CD) sont devenus une cible privilegiee car ils disposent de privileges eleves et constituent un point de passage oblige pour le code en production. Les attaques ciblent les tokens d'acces aux depots de code (GitHub, GitLab), les secrets stockes dans les variables d'environnement des pipelines, les runners partages, et les images de build compromises. La technique MITRE T1195.002 — Compromise Software Supply Chain couvre l'ensemble de ces vecteurs.

Typologie des attaques supply chain 2024-2025

Type d'attaque	Vecteur	Exemples recents	Impact potentiel	Detection
Compromission de build	Pipeline CI/CD	SolarWinds, Codecov	Critique — distribution massive	Signature de code, SBOM
Backdoor open source	Contribution malveillante	XZ Utils, event-stream	Critique — dependances profondes	Revue de code, audit dependances
Typosquatting	Registres de paquets	245K+ paquets malveillants	Eleve — exfiltration, RAT	Lockfiles, allow-lists
Dependency confusion	Resolution de dependances	Attaques sur npm scopes	Eleve — execution de code	Registres prives, scoping
Compromission de fournisseur	Acces privilegie tiers	Okta, MOVEit, 3CX	Critique — acces lateral	TPRM, surveillance acces

IA Offensive et Deepfakes : la Nouvelle Frontiere

L'intelligence artificielle generative a ouvert une nouvelle dimension dans le paysage des menaces cybersecurite. Les modeles de langage (LLM), les outils de generation d'images et les synthetiseurs vocaux sont desormais exploites par les attaquants pour creer des campagnes de phishing ultra-personnalisees, des deepfakes convaincants pour le Business Email Compromise (BEC), et des outils d'automatisation des phases de reconnaissance et d'exploitation.

Phishing augmente par l'IA

Les modeles de langage permettent de generer des emails de phishing qui eliminent les marqueurs traditionnels de detection : fautes d'orthographe, tournures maladroites, incoherences contextuelles. Les attaquants utilisent l'IA pour :

• Personnaliser massivement les emails en integrant des informations contextuelles extraites des reseaux sociaux, des fuites de donnees et des sites web d'entreprise
• Adapter le ton et le style a la communication habituelle de l'expediteur usurpe, en entrainant le modele sur des echantillons de sa correspondance
• Generer du contenu multilingue de haute qualite, eliminant l'avantage historique des locuteurs natifs dans la detection du phishing
• Creer des pretextes elabores en temps reel, adaptes a l'actualite de l'entreprise cible (resultats financiers, restructurations, evenements)

Pour approfondir les mecanismes de phishing avance, consultez notre article : Phishing 2026 : Spear phishing avance et defenses.

Deepfakes vocaux et video pour le BEC

Les deepfakes vocaux sont devenus suffisamment realistes pour tromper des professionnels experimentes lors d'appels telephoniques. Plusieurs cas documentes en 2024-2025 illustrent cette menace : un employe d'Arup a transfere 25 millions de dollars apres un appel video avec un deepfake de son directeur financier ; des entreprises francaises ont ete ciblees par des appels imitant la voix de leurs dirigeants pour ordonner des virements urgents. La technique necessite desormais moins de 30 secondes d'echantillon audio pour generer un clone vocal convaincant.

IA pour la decouverte de vulnerabilites

Les modeles de langage sont egalement utilises pour automatiser la decouverte de vulnerabilites dans le code source et les binaires. Les outils comme les fuzzers augmentes par IA et les agents autonomes de recherche de vulnerabilites representent une menace emergente significative. Google Project Zero a demontre qu'un agent IA pouvait decouvrir des vulnerabilites zero-day dans des logiciels reels, tandis que des chercheurs ont montre que des LLM pouvaient generer des exploits fonctionnels pour des CVE connues.

Le risque de prompt injection dans les systemes d'IA deployes en entreprise constitue egalement un vecteur d'attaque a part entiere. Pour en savoir plus sur ce sujet critique, consultez notre analyse : Prompt Injection : 73% des deploiements vulnerables.

Adversarial Machine Learning

L'Adversarial Machine Learning cible les modeles d'IA deployes en defense. Les attaquants developpent des techniques pour empoisonner les donnees d'entrainement (data poisoning), generer des exemples adversariaux qui trompent les modeles de detection (evasion attacks), et extraire les parametres des modeles proprietaires (model stealing). Le framework MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) catalogue ces techniques specifiques a l'IA.

Menaces sur Active Directory : le Pilier Identitaire sous Attaque

Active Directory demeure le composant d'infrastructure le plus cible par les attaquants en 2025-2026. Present dans plus de 90% des environnements d'entreprise Fortune 1000, il constitue le pilier central de l'authentification et de l'autorisation, ce qui en fait la cible prioritaire de toute operation de mouvement lateral et d'elevation de privileges. Les donnees montrent que 80% des compromissions AD exploitent des misconfigurations connues et corrigeables, plutot que des vulnerabilites zero-day.

Kerberoasting et AS-REP Roasting

Le Kerberoasting (T1558.003) reste l'une des techniques les plus efficaces pour obtenir des identifiants de comptes de service dans Active Directory. L'attaquant, disposant d'un simple compte de domaine, demande des tickets de service Kerberos (TGS) pour les comptes configures avec un Service Principal Name (SPN), puis les soumet a un cracking offline. En 2025, les capacites de cracking GPU permettent de tester plus de 100 milliards de combinaisons par seconde, rendant vulnerables tous les mots de passe de complexite insuffisante.

L'AS-REP Roasting (T1558.004) cible les comptes pour lesquels la pre-authentification Kerberos est desactivee, permettant de recuperer un hash crackable sans meme disposer d'identifiants valides. Cette misconfiguration, souvent laissee en place pour des raisons de compatibilite applicative, affecte en moyenne 3 a 5% des comptes dans les environnements audites.

Pour une analyse technique complete du Kerberoasting et des defenses associees, consultez notre article detaille : Kerberoasting Active Directory : Attaque et defense.

Golden Ticket et Silver Ticket

Les attaques Golden Ticket (T1558.001) exploitent la compromission du hash du compte KRBTGT pour forger des TGT (Ticket Granting Tickets) valides avec des privileges arbitraires. Cette technique, qui survient apres la compromission d'un controleur de domaine, offre a l'attaquant un acces persistant et quasi indetectable a l'ensemble du domaine Active Directory. La rotation reguliere du mot de passe KRBTGT (deux fois consecutives) reste la seule remediation efficace, mais elle n'est pratiquee que par 12% des organisations selon les audits recents.

Les Silver Tickets (T1558.002) permettent de forger des tickets de service pour un SPN specifique en utilisant le hash du compte de service associe. Moins puissants que les Golden Tickets, ils sont plus difficiles a detecter car ils ne necessitent pas d'interaction avec le KDC.

Attaques sur AD Certificate Services (ADCS)

Les attaques sur Active Directory Certificate Services (ADCS) ont explose depuis la publication des recherches « Certified Pre-Owned » par SpecterOps en 2021. En 2025, les vulnerabilites ADCS (ESC1 a ESC13) sont systematiquement exploitees lors des tests d'intrusion et des attaques reelles. La misconfiguration ESC1, qui permet a un utilisateur de specifier un Subject Alternative Name (SAN) dans une demande de certificat, reste la plus repandue et la plus dangereuse : elle permet une elevation de privileges directe vers Domain Admin en quelques commandes.

Attaques d'identite hybride (Cloud + AD)

La convergence entre Active Directory on-premises et les identites cloud (Entra ID / Azure AD) cree de nouveaux vecteurs d'attaque. Les attaquants ciblent les serveurs Azure AD Connect pour extraire les identifiants de synchronisation, exploitent les Seamless SSO mal configures, et utilisent les tokens OAuth pour pivoter entre les environnements on-premises et cloud. La technique T1078.004 — Valid Accounts: Cloud Accounts est en forte progression, observee dans 34% des compromissions impliquant des environnements hybrides.

Cloud et Conteneurs : la Surface d'Attaque Elastique

L'adoption massive du cloud public et des architectures conteneurisees a considerablement elargi la surface d'attaque des organisations. En 2025, 82% des breaches impliquent des donnees stockees dans le cloud (public, prive ou multi-cloud), et les incidents lies aux environnements Kubernetes et serverless ont augmente de 89% par rapport a 2023. Les erreurs de configuration restent le premier vecteur de compromission, loin devant l'exploitation de vulnerabilites.

Attaques Kubernetes

Les environnements Kubernetes presentent une surface d'attaque complexe qui combine les risques de l'orchestration de conteneurs, de la gestion des secrets, et de l'interaction avec les APIs cloud sous-jacentes. Les principaux vecteurs d'attaque observes en 2025 incluent :

• Exposition du serveur API : les clusters dont le serveur API Kubernetes est expose sur Internet sans authentification adequate restent un vecteur courant. Les scanners automatises identifient en moyenne 380 000 serveurs API Kubernetes exposes
• Escape de conteneur : l'exploitation de vulnerabilites du runtime (runc, containerd) ou de misconfigurations (privileged: true, montage du socket Docker) pour s'echapper du conteneur vers le noeud hote
• Mouvement lateral via les Service Accounts : exploitation des tokens de service accounts Kubernetes montes automatiquement dans les pods pour pivoter vers d'autres namespaces ou le cloud provider
• Exploitation des RBAC : les configurations RBAC trop permissives (ClusterRoleBindings avec des wildcards) permettent l'elevation de privileges au sein du cluster

Pour un guide complet sur la securisation des environnements Kubernetes, consultez : Securite Kubernetes 2026 : Guide complet.

SSRF vers IMDS : le pivot cloud classique

Les attaques Server-Side Request Forgery (SSRF) ciblant les services de metadonnees d'instances cloud (IMDS) restent un vecteur d'intrusion majeur dans les environnements cloud. En exploitant une vulnerabilite SSRF dans une application web, l'attaquant peut acceder a l'endpoint de metadonnees (http://169.254.169.254) pour recuperer les identifiants IAM temporaires associes a l'instance, puis les utiliser pour pivoter vers d'autres services cloud. Cette technique (T1552.005 — Unsecured Credentials: Cloud Instance Metadata API) a ete observee dans l'attaque Capital One de 2019 et reste largement exploitable en 2025 malgre l'introduction d'IMDSv2 par AWS.

Risques des architectures serverless

Les architectures serverless (AWS Lambda, Azure Functions, Google Cloud Functions) introduisent des risques specifiques lies a l'ephemerite des environnements d'execution, a la gestion des permissions IAM, et a l'injection d'evenements. Les fonctions serverless disposent souvent de permissions excessives, creant des opportunites d'elevation de privileges. L'injection d'evenements malveillants dans les queues de messages, les buckets S3 ou les streams de donnees peut declencher l'execution de code dans un contexte privilegie.

Shadow IT cloud et sprawl de ressources

Le phenomene de shadow IT cloud — la creation de ressources cloud par des equipes metiers sans controle de l'equipe securite — represente un risque croissant en 2025. Les developpeurs et equipes projet creent des comptes cloud, des instances de bases de donnees, des buckets de stockage et des API sans appliquer les politiques de securite de l'organisation. Selon les estimations, 40% des ressources cloud d'une organisation typique echappent a la visibilite de l'equipe securite. Ce sprawl non controle multiplie les points d'entree potentiels et cree des angles morts dans la surveillance securitaire. Les solutions CSPM (Cloud Security Posture Management) et CNAPP (Cloud-Native Application Protection Platform) permettent d'obtenir une visibilite sur l'ensemble des ressources cloud et d'appliquer automatiquement les politiques de securite, mais leur deploiement reste incomplet dans la majorite des organisations.

L'adoption du multi-cloud (utilisation simultanee de plusieurs fournisseurs cloud) complexifie encore la gestion de la securite. Chaque fournisseur dispose de son propre modele de responsabilite partagee, de ses propres services de securite, et de ses propres mecanismes IAM. Les equipes securite doivent maitriser les specificites de chaque plateforme tout en maintenant une politique de securite coherente et transversale. Les erreurs de configuration specifiques a un cloud provider (par exemple, les IAM Policies AWS versus les Azure RBAC versus les GCP IAM Bindings) sont frequemment exploitees par les attaquants qui se specialisent sur un environnement cloud particulier.

Misconfigurations cloud : le risque persistant

Top 10 des misconfigurations cloud exploitees en 2025

#	Misconfiguration	Cloud(s)	Impact	Prevalence
1	Buckets/Blobs de stockage publics	AWS, Azure, GCP	Fuite de donnees	35%
2	Permissions IAM excessives	Tous	Elevation de privileges	72%
3	Security Groups trop permissifs	AWS, Azure	Exposition de services	45%
4	Logging/monitoring desactive	Tous	Absence de visibilite	41%
5	IMDSv1 encore actif	AWS	Vol d'identifiants	28%
6	Chiffrement au repos desactive	Tous	Non-conformite	23%
7	Secrets en variables d'environnement	Tous	Exposition de secrets	56%
8	Network policies Kubernetes absentes	Tous	Mouvement lateral	63%
9	Service accounts avec cles statiques	GCP	Compromission durable	38%
10	Absence de MFA sur la console	Tous	Prise de controle	19%

IoT et OT : la Convergence des Risques Physiques et Numeriques

La convergence croissante des systemes informatiques traditionnels (IT) et des technologies operationnelles (OT) cree de nouvelles surfaces d'attaque dans les environnements industriels, energetiques et de sante. Les menaces IoT/OT en 2025-2026 se caracterisent par leur potentiel d'impact physique : perturbation de la production industrielle, atteinte aux infrastructures critiques, et risques pour la securite des personnes.

Industroyer2 et l'heritage des attaques ICS

Industroyer2, decouvert en avril 2022 lors d'une tentative d'attaque contre le reseau electrique ukrainien, illustre l'evolution des malwares ciblant les systemes de controle industriel (ICS). Attribue au groupe Sandworm (GRU), ce malware est une version simplifiee mais plus ciblee d'Industroyer/CrashOverride (2016), concue specifiquement pour interagir avec les protocoles IEC-104 utilises dans les sous-stations electriques. L'heritage de Triton/TRISIS (2017), qui ciblait les systemes instrumentes de securite (SIS) Triconex de Schneider Electric, rappelle que les attaquants sont capables et disposes a cibler les systemes de securite physique eux-memes.

Attaques SCADA et HMI

Les systemes SCADA (Supervisory Control and Data Acquisition) et les interfaces homme-machine (HMI) restent des cibles privilegiees en raison de leur connectivite croissante et de leur dette technique en matiere de securite. En 2024, un groupe hacktiviste pro-iranien a reussi a manipuler des controleurs logiques programmables (PLC) Unitronics dans plusieurs installations de traitement des eaux aux Etats-Unis, exploitant des mots de passe par defaut et l'absence de segmentation reseau. Ce type d'attaque, autrefois reserve aux acteurs etatiques les plus sophistiques, est desormais a la portee de groupes moins avances.

Les protocoles industriels (Modbus, DNP3, OPC-UA, IEC-104) restent largement depourvus de mecanismes d'authentification et de chiffrement natifs, et les solutions de securite reseau traditionnelles ne comprennent pas ces protocoles. La visibilite sur le trafic OT reste insuffisante dans la majorite des environnements industriels, avec seulement 24% des organisations industrielles disposant d'une solution de detection d'intrusion adaptee aux protocoles OT.

Botnets IoT et appareils connectes

L'explosion du nombre d'appareils IoT connectes (estimes a 18,8 milliards en 2025) amplifie considerablement le risque de constitution de botnets massifs. Les heritiers de Mirai continuent de proliferer, ciblant les routeurs, cameras IP, NAS, et objets connectes avec des exploits automatises et des attaques par force brute. Le botnet InfectedSlurs, identifie en 2024, exploitait deux vulnerabilites zero-day dans des routeurs et des cameras NVR pour constituer un reseau de plus de 100 000 appareils compromis, utilise pour des attaques DDoS depassant 2 Tbps.

Dispositifs medicaux connectes : un risque vital

Le secteur de la sante concentre des risques IoT particulierement critiques en raison de la proliferation des dispositifs medicaux connectes (pompes a perfusion, moniteurs cardiaques, scanners IRM, automates de laboratoire) dont les cycles de vie logiciel depassent souvent dix ans. Ces equipements fonctionnent frequemment sur des systemes d'exploitation obsoletes (Windows XP Embedded, Windows 7), ne recoivent plus de correctifs de securite, et ne peuvent pas toujours etre segmentes sans impacter les flux de soins. En 2024, des chercheurs en securite ont demonstre la possibilite de modifier les parametres de dosage d'une pompe a perfusion connectee a distance, illustrant le potentiel d'impact sur la vie humaine. La directive europeenne NIS2, entree en application en octobre 2024, impose desormais aux etablissements de sante de cartographier l'ensemble de leurs dispositifs connectes et de mettre en place des mesures de securisation proportionnees au risque.

Securite des reseaux 5G et des objets connectes industriels

Le deploiement des reseaux 5G privees dans les environnements industriels (campus networks) cree de nouvelles opportunites mais egalement de nouveaux vecteurs d'attaque. Les reseaux 5G prives sont utilises pour connecter des capteurs industriels, des robots autonomes et des systemes de controle en temps reel, avec des exigences de latence et de fiabilite critiques. Les attaques potentielles incluent l'interception du trafic de signalisation (protocole GTP), l'usurpation de stations de base (rogue base stations), et l'exploitation de vulnerabilites dans les fonctions de reseau virtualise (VNF) qui composent le coeur du reseau 5G. La surface d'attaque est amplifiee par l'utilisation de composants open source dans les implementations 5G (Open RAN) et par la complexite des interactions entre les couches radio, transport et application.

Recommandations specifiques pour la securite IoT/OT

La protection des environnements IoT/OT necessite une approche differenciee de celle des systemes IT traditionnels. Les recommandations prioritaires incluent le deploiement d'une solution de decouverte et de surveillance des actifs OT (Claroty, Nozomi Networks, Dragos, Microsoft Defender for IoT) pour obtenir une visibilite complete sur l'ensemble des dispositifs connectes, la mise en place d'une segmentation reseau stricte conforme au modele Purdue, la surveillance passive du trafic reseau OT pour detecter les anomalies protocolaires, et la creation de procedures de reponse aux incidents specifiques aux environnements industriels. Le standard IEC 62443, qui definit les niveaux de securite pour les systemes d'automatisation industrielle, constitue le cadre de reference pour la securisation des environnements OT.

Insider Threats : le Risque Interne Amplifie

Les menaces internes (insider threats) restent l'un des risques les plus difficiles a detecter et a prevenir. En 2025, le cout moyen d'un incident lie a un insider atteint 16,2 millions de dollars par organisation, et le temps moyen de detection est de 85 jours — soit pres de trois mois pendant lesquels l'acteur interne malveillant ou compromis peut exfiltrer des donnees, saboter des systemes ou preparer le terrain pour des attaques ulterieures.

Typologie des insiders

Les menaces internes se declinent en plusieurs categories distinctes, chacune necessitant des approches de detection et de prevention specifiques :

• Insider malveillant : employe, sous-traitant ou partenaire qui exploite intentionnellement son acces legitime pour des motifs financiers, ideologiques ou de vengeance. Represente 25% des incidents internes
• Insider compromis : utilisateur dont les identifiants ont ete voles (phishing, credential stuffing, malware) et qui est utilise comme pivot par un attaquant externe. Represente 56% des incidents, en forte hausse avec le phishing IA
• Insider negligent : utilisateur qui, par meconnaissance ou imprudence, provoque un incident de securite (envoi de donnees sensibles par email, misconfiguration, clic sur un lien malveillant). Represente 19% des incidents

Teletravail et risques associes

La generalisation du travail a distance et hybride depuis 2020 a considerablement amplifie le risque d'insider threat. Les employes travaillant depuis des environnements domestiques ou des espaces de coworking sont exposes a des risques accrus : reseaux Wi-Fi non securises, partage d'appareils familiaux, absence de surveillance physique, et utilisation de shadow IT. Les solutions de Data Loss Prevention (DLP) traditionnelles, concues pour un perimetre reseau d'entreprise, sont largement inefficaces dans un contexte de travail distribue ou les donnees transitent entre le cloud, les VPN, et les appareils personnels.

Exfiltration de donnees : patterns et detection

Les techniques d'exfiltration de donnees par les insiders ont considerablement evolue pour contourner les solutions de surveillance. Les patterns observes en 2024-2025 incluent : l'utilisation de services de stockage cloud personnels (Google Drive, Dropbox), le transfert de donnees via des applications de messagerie chiffree (Signal, Telegram), l'impression de documents suivie de numerisation sur un appareil personnel, la copie sur des supports amovibles lors de periodes de faible surveillance, et l'utilisation de steganographie pour dissimuler des donnees dans des fichiers anodins. La technique MITRE T1048 — Exfiltration Over Alternative Protocol couvre plusieurs de ces vecteurs.

Strategies de detection des menaces internes

La detection efficace des insiders repose sur une combinaison de controles techniques et organisationnels. Les solutions de User and Entity Behavior Analytics (UEBA) analysent les patterns d'utilisation de chaque employe pour etablir une baseline comportementale et detecter les anomalies : acces a des ressources inhabituelles, telechargements massifs, connexions a des heures atypiques, ou utilisation de peripheriques non autorises. L'integration des donnees RH (departs annonces, evaluations negatives, conflits) avec les donnees de securite ameliore significativement la precision de la detection.

Les programmes de gestion des menaces internes (Insider Threat Program — ITP) les plus matures combinent formation de sensibilisation, controles d'acces granulaires (principe du moindre privilege), surveillance des activites sensibles (acces aux donnees classifiees, modifications de configuration), et un processus de signalement protege pour les employes temoins de comportements suspects. La directive NIS2 et le reglement DORA renforcent les obligations des organisations en matiere de gestion des risques internes.

Attaques sur la Chaine d'Identite : Contourner les Defenses Modernes

Les attaques sur la chaine d'identite representent une evolution majeure du paysage des menaces en 2025-2026. Face au deploiement croissant de l'authentification multifacteur (MFA) et des solutions Zero Trust, les attaquants ont developpe des techniques sophistiquees pour contourner ces defenses en ciblant les mecanismes d'authentification eux-memes plutot que les identifiants statiques.

MFA Fatigue et MFA Bypass

La technique de MFA Fatigue (ou « MFA bombing ») consiste a bombarder la cible de notifications push MFA jusqu'a ce qu'elle accepte par lassitude ou confusion. Cette technique, rendue celebre par l'attaque contre Uber en 2022 (attribuee au groupe Lapsus$), reste efficace en 2025 malgre l'introduction de fonctionnalites anti-fatigue (number matching, context display) par les principaux fournisseurs MFA. Les variantes incluent l'accompagnement des notifications par des messages de social engineering via SMS ou applications de messagerie, pretendant etre le support IT.

Au-dela de la fatigue, les attaquants ciblent les implementations MFA vulnerables : bypass par manipulation de reponse (response tampering), exploitation de codes de recuperation stockes de maniere non securisee, et attaques sur les flux d'enregistrement MFA.

Adversary-in-the-Middle (AiTM) et phishing de tokens

Les attaques Adversary-in-the-Middle (AiTM), mises en oeuvre par des kits de phishing comme Evilginx2, Modlishka et Muraena, sont devenues le vecteur principal de contournement du MFA. L'attaquant interpose un proxy transparent entre la victime et le site legitime, capturant en temps reel les cookies de session et les tokens d'authentification apres que la victime a complete l'ensemble du processus d'authentification, y compris le MFA. Cette technique (T1557 — Adversary-in-the-Middle) rend inoperant tout MFA non resistant au phishing (SMS, TOTP, push notification).

Seules les methodes d'authentification resistantes au phishing, telles que FIDO2/WebAuthn (cles physiques YubiKey, Windows Hello for Business, Passkeys), offrent une protection efficace contre les attaques AiTM, car elles lient cryptographiquement l'authentification au domaine du site legitime.

Session Hijacking et Token Theft

Le vol de tokens de session (T1539 — Steal Web Session Cookie) est devenu un objectif prioritaire pour les attaquants, car il permet de contourner completement l'authentification (y compris le MFA) en reutilisant une session deja authentifiee. Les vecteurs incluent les infostealers (RedLine, Raccoon, Lumma) qui extraient les cookies de session des navigateurs, les attaques XSS ciblant les tokens stockes cote client, et l'exploitation de vulnerabilites dans la gestion des sessions applicatives.

OAuth Phishing et Consent Grant Attacks

Les attaques de phishing OAuth exploitent les flux d'autorisation OAuth 2.0 pour obtenir un acces persistant aux ressources d'un utilisateur sans jamais obtenir ses identifiants. L'attaquant enregistre une application malveillante dans un tenant cloud et envoie un lien d'autorisation a la victime, qui consent a accorder les permissions demandees (lecture d'emails, acces aux fichiers, envoi de messages). Une fois le consentement accorde, l'attaquant dispose d'un token d'acces persistant qui survit au changement de mot de passe et au renouvellement du MFA. Microsoft rapporte une augmentation de 178% de ces attaques en 2024.

Cartographie des Threat Actors : les 20 Groupes les Plus Actifs

La cartographie des groupes de menaces actifs en 2025-2026 revele un ecosysteme diversifie, allant des APT etatiques aux operateurs de ransomware, en passant par les hacktivistes et les courtiers d'acces initiaux (Initial Access Brokers). Le tableau ci-dessous presente les vingt groupes les plus significatifs par leur impact, leur sophistication et leur frequence d'activite observee.

Top 20 des groupes de menaces actifs en 2025-2026

#	Groupe	Alias	Attribution	Type	Tactiques principales	Cibles prioritaires
1	APT29	Cozy Bear, Midnight Blizzard	Russie (SVR)	APT	Supply chain, Cloud abuse, T1195	Gouvernements, Tech, Diplomatie
2	APT28	Fancy Bear, Forest Blizzard	Russie (GRU)	APT	Spearphishing, Exploit 0-day, T1190	OTAN, Gouvernements EU, Defense
3	Volt Typhoon	Bronze Silhouette	Chine (MSS)	APT	LotL, T1218, Pre-positionnement	Infrastructures critiques US/EU
4	Salt Typhoon	GhostEmperor	Chine (MSS)	APT	Exploit telecom, T1190	Operateurs telecoms
5	Lazarus	Hidden Cobra, Diamond Sleet	Coree du Nord	APT	Social engineering, T1566.003	Crypto, Finance, Defense
6	Sandworm	Voodoo Bear, Seashell Blizzard	Russie (GRU)	APT/Sabotage	ICS/OT attacks, T1499, wipers	Energie, Infrastructures Ukraine
7	LockBit 4.0	—	Russophone	Ransomware	RaaS, double extortion, T1486	Multi-secteurs global
8	BlackBasta	—	Ex-Conti	Ransomware	RaaS, ESXi targeting, T1486	Industrie, Sante
9	Cl0p	TA505	Russophone	Extortion	Exploit 0-day supply chain, T1190	Supply chain (MOVEit, GoAnywhere)
10	Scattered Spider	UNC3944, Octo Tempest	US/UK (jeunes)	Cybercriminel	Social eng. helpdesk, SIM swap	Telecom, Hospitality, Tech
11	MuddyWater	Mercury, Mango Sandstorm	Iran (MOIS)	APT	Spearphishing, RMM tools	Moyen-Orient, Gouvernements
12	Charming Kitten	APT35, Mint Sandstorm	Iran (IRGC)	APT	Credential harvesting, T1078	Dissidents, Academique, Medias
13	Akira	—	Russophone	Ransomware	RaaS, VPN exploit, T1486	PME, Education
14	Play	PlayCrypt	Inconnu	Ransomware	RaaS, AD exploit, T1486	PME, Collectivites
15	Rhysida	—	Inconnu	Ransomware	RaaS, T1486	Sante, Gouvernement
16	FIN7	Carbanak, Carbon Spider	Russophone	Cybercriminel	Malware, T1059, IAB	Retail, Hospitality
17	Turla	Snake, Venomous Bear	Russie (FSB)	APT	Watering hole, T1189, implants	Gouvernements, Defense
18	Kimsuky	Velvet Chollima, Emerald Sleet	Coree du Nord	APT	Spearphishing, credential theft	Think tanks, Nucleaire, Defense
19	BlackCat/ALPHV	—	Russophone	Ransomware	RaaS Rust, cross-platform, T1486	Sante, Infrastructures critiques
20	Hunters Int.	—	Ex-Hive	Ransomware	RaaS, data extortion	Multi-secteurs

Indicateurs Cles et Statistiques : le Threat Landscape en Chiffres

Cette section presente les indicateurs quantitatifs essentiels pour comprendre l'ampleur et l'evolution du threat landscape 2025-2026. Ces donnees, issues de l'agregation des rapports d'incidents et des etudes de marche, permettent aux RSSI de contextualiser les risques et de justifier les investissements de securite aupres de leur direction.

Cout des incidents de securite

Couts moyens par type d'incident (2025, en millions USD)

Type d'incident	Cout moyen	Cout median	Temps de recuperation	Evolution vs 2024
Data breach (global)	4,88 M$	3,2 M$	277 jours	+10%
Ransomware	5,13 M$	2,8 M$	24 jours	+15%
Compromission BEC	4,67 M$	1,5 M$	45 jours	+22%
Insider threat	16,2 M$	8,4 M$	85 jours	+12%
Supply chain attack	4,76 M$	2,1 M$	292 jours	+18%
Incident cloud	5,17 M$	3,0 M$	258 jours	+13%

Metriques de detection et de reponse

Metriques SOC et reponse aux incidents 2025

Metrique	Valeur 2025	Valeur 2024	Tendance
Dwell time moyen (global)	10 jours	16 jours	Amelioration
Dwell time moyen (ransomware)	5 jours	9 jours	Amelioration
Dwell time moyen (espionnage)	34 jours	42 jours	Amelioration
% detection interne	54%	46%	Amelioration
% detection par tiers	27%	31%	Amelioration
% detection par attaquant (notification rancon)	19%	23%	Amelioration
MTTR (Mean Time to Respond)	62 heures	78 heures	Amelioration

Distribution sectorielle des attaques

Repartition des incidents par secteur d'activite 2025

Secteur	% des incidents	Type de menace principal	Evolution
Sante	17%	Ransomware	+4 pts
Finance et Assurance	14%	APT, Fraude	Stable
Industrie / Manufacturing	13%	Ransomware, OT	+2 pts
Gouvernement / Public	12%	APT, Hacktivisme	Stable
Education	9%	Ransomware	+3 pts
Technologies	8%	Supply chain, APT	+1 pt
Energie et Utilities	7%	APT, OT/ICS	+2 pts
Retail / Commerce	6%	Ransomware, Magecart	-1 pt
Telecommunications	5%	APT etatique	+2 pts
Transport et Logistique	4%	Ransomware	+1 pt
Autres	5%	Divers	—

Vecteurs d'acces initial les plus exploites

Top 10 des vecteurs d'acces initial observes en 2025

#	Vecteur	Technique MITRE	% des incidents
1	Exploitation de vulnerabilites (applications exposees)	T1190	32%
2	Identifiants voles / compromis	T1078	28%
3	Phishing (email + liens)	T1566	18%
4	Supply chain compromise	T1195	8%
5	Services exposes (RDP, VNC, SSH)	T1133	5%
6	Drive-by compromise	T1189	3%
7	Acces physique / insider	T1200	2%
8	Medias amovibles (USB)	T1091	1,5%
9	Abus de confiance (tiers compromis)	T1199	1,5%
10	Exploitation de relation fournisseur	T1195.002	1%

Evolution des budgets cybersecurite

Face a l'intensification des menaces, les organisations augmentent significativement leurs investissements en cybersecurite. Le budget moyen de securite informatique represente desormais 11,6% du budget IT total (contre 9,9% en 2023), avec une croissance particulierement forte dans les secteurs les plus cibles : sante (+24%), education (+18%), et collectivites territoriales (+15%). Les postes de depense en plus forte croissance sont l'ITDR (Identity Threat Detection and Response), les solutions XDR/MDR, et la formation a la sensibilisation aux menaces IA. Cependant, 62% des RSSI estiment que leur budget reste insuffisant face au niveau de menace actuel, et la penurie de talents en cybersecurite — estimee a 3,4 millions de postes non pourvus mondialement — constitue un facteur limitant majeur.

Recommandations RSSI : 20 Actions Prioritaires pour 2026

Face a la complexite croissante du threat landscape 2025-2026, les RSSI doivent prioriser leurs investissements et actions de securite en fonction de l'impact reel des menaces. Les vingt recommandations suivantes sont classees par ordre de priorite et de retour sur investissement securitaire, basees sur l'analyse des vecteurs d'attaque les plus exploites et des controles les plus efficaces pour les contrer.

Priorite Critique — Actions immediates

1. Deployer une authentification MFA resistante au phishing (FIDO2/Passkeys) — Les attaques AiTM rendant le MFA classique (SMS, TOTP, push) contournable, migrer vers FIDO2/WebAuthn pour les comptes critiques (admins, VIP, comptes de service cloud). Cible : 100% des comptes Tier 0 et Tier 1 en FIDO2 d'ici Q2 2026.
2. Durcir Active Directory et deployer ITDR — Implementer un modele de tiering (Tier 0/1/2), deployer des gMSA pour eliminer le Kerberoasting, auditer et corriger les misconfigurations ADCS, et mettre en place une solution ITDR (Identity Threat Detection and Response) pour detecter les attaques d'identite en temps reel.
3. Maintenir un programme de gestion des vulnerabilites axe sur les risques — Prioriser le patching des vulnerabilites activement exploitees (KEV CISA) sur les assets exposes a Internet. L'exploitation de vulnerabilites connues reste le vecteur d'acces initial n1 (32%).
4. Securiser les sauvegardes contre le ransomware — Implementer la regle 3-2-1-1-0 (3 copies, 2 medias, 1 hors site, 1 offline/immuable, 0 erreur de restauration). Tester la restauration trimestriellement. Les sauvegardes sont ciblees dans 94% des attaques ransomware.
5. Segmenter les reseaux IT/OT — Deployer une DMZ industrielle conforme au modele Purdue/IEC 62443 entre les reseaux IT et OT. Aucun flux direct entre le reseau bureautique et les systemes de controle industriel.

Priorite Haute — Actions a planifier sous 3 mois

6. Implementer une architecture Zero Trust — Adopter le principe « never trust, always verify » avec verification continue de l'identite, du contexte et de la posture de l'appareil pour chaque acces aux ressources. Commencer par les applications critiques et les acces distants.
7. Renforcer la securite de la supply chain logicielle — Generer et maintenir des SBOM (Software Bill of Materials) pour toutes les applications, scanner les dependances en continu, et signer numeriquement les artefacts de build. Deployer des controles d'integrite sur les pipelines CI/CD.
8. Deployer un SOC avec capacite de Threat Hunting — Au-dela de la detection reactive, developper une capacite de threat hunting proactif basee sur les renseignements de menace (CTI) et les hypotheses de compromission. Former l'equipe SOC aux techniques MITRE ATT&CK des groupes adverses pertinents pour votre secteur.
9. Securiser les environnements cloud et Kubernetes — Deployer CSPM (Cloud Security Posture Management), CWPP, et controles d'admission Kubernetes. Appliquer le principe du moindre privilege pour les identites cloud (IAM). Migrer vers IMDSv2. Chiffrer les donnees au repos et en transit.
10. Former les equipes aux menaces IA — Sensibiliser les employes aux deepfakes, au phishing IA et aux tentatives de social engineering augmente. Mettre a jour les procedures de validation des virements et des demandes sensibles pour inclure une verification hors bande obligatoire.

Priorite Elevee — Actions a planifier sous 6 mois

11. Restreindre et surveiller les consentements OAuth — Bloquer les consentements utilisateur pour les applications non pre-approuvees. Auditer les applications existantes et revoquer les consentements excessifs. Surveiller les nouveaux enregistrements d'applications dans Entra ID.
12. Implementer la Continuous Access Evaluation (CAE) — Activer l'evaluation continue des acces pour revoquer les sessions en temps reel en cas de changement de risque (localisation anormale, appareil non conforme, identifiants compromis detectes).
13. Durcir les hyperviseurs et l'infrastructure de virtualisation — Isoler les interfaces de gestion ESXi/vCenter sur un reseau dedie, appliquer les correctifs de securite en priorite, et desactiver les services non utilises. Les ransomwares ESXi sont en forte progression.
14. Deployer une solution EDR/XDR sur l'ensemble du parc — Assurer une couverture EDR de 100% incluant les serveurs Linux, les conteneurs et les environnements cloud. Les solutions XDR offrent une correlation cross-layer essentielle pour detecter les attaques sophistiquees.
15. Tester la resilience avec des exercices Purple Team — Organiser des exercices de simulation trimestriels combinant Red Team (simulation d'attaque) et Blue Team (detection et reponse) pour valider l'efficacite des controles de securite contre les TTP des groupes adverses pertinents.

Priorite Standard — Actions a planifier sous 12 mois

16. Mettre en place un programme de gestion des risques tiers (TPRM) — Evaluer la posture de securite des fournisseurs critiques, inclure des clauses de securite dans les contrats, et surveiller en continu les risques lies a la chaine d'approvisionnement.
17. Deployer une solution DLP adaptee au travail hybride — Mettre a jour les politiques de prevention de fuite de donnees pour couvrir les flux cloud-to-cloud, les applications SaaS, et les appareils personnels. Integrer avec la solution CASB pour une visibilite complete.
18. Implementer la microsegmentation reseau — Au-dela de la segmentation traditionnelle, deployer la microsegmentation pour limiter le mouvement lateral a l'interieur de chaque zone de securite, notamment dans les environnements cloud et conteneurises.
19. Developper et tester un plan de reponse aux incidents — Maintenir un playbook de reponse aux incidents couvrant les scenarios prioritaires (ransomware, compromission AD, data breach, attaque supply chain). Tester le plan trimestriellement avec des exercices de table-top et annuellement avec une simulation complete.
20. Integrer la Threat Intelligence dans les processus de decision — Alimenter les processus de gestion des vulnerabilites, de threat hunting et de reponse aux incidents avec du renseignement de menace contextualise pour votre secteur et votre geographie. Participer aux ISAC et CERT sectoriels pour mutualiser les renseignements.

Questions Frequentes sur le Threat Landscape 2025-2026

Cadre Reglementaire et Obligations 2025-2026

Le paysage reglementaire en matiere de cybersecurite connait une evolution majeure en 2025-2026, avec l'entree en vigueur de plusieurs textes structurants qui imposent de nouvelles obligations aux organisations. La directive europeenne NIS2 (Network and Information Security), transposee en droit national des Etats membres depuis octobre 2024, elargit considerablement le perimetre des entites regulees (de 10 000 a plus de 160 000 organisations en Europe) et impose des mesures de gestion des risques, de notification des incidents (sous 24 heures pour une alerte precoce, 72 heures pour un rapport complet), et de securisation de la chaine d'approvisionnement. Les sanctions peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial.

Le reglement DORA (Digital Operational Resilience Act), applicable au secteur financier depuis janvier 2025, impose des exigences specifiques en matiere de tests de resilience numerique, de gestion des risques lies aux prestataires TIC, et de partage d'informations sur les menaces. Les entites financieres doivent realiser des tests de penetration avances (TLPT — Threat-Led Penetration Testing) bases sur des scenarios de menaces reelles, au moins tous les trois ans.

Le Cyber Resilience Act (CRA) europeen, qui entrera en application progressive a partir de 2026, imposera aux fabricants de produits comportant des elements numeriques (logiciels, dispositifs IoT, equipements industriels connectes) de garantir un niveau de securite minimal tout au long du cycle de vie du produit, incluant la gestion des vulnerabilites et la fourniture de mises a jour de securite. Ce reglement aura un impact significatif sur les fabricants IoT et les editeurs de logiciels, qui devront demontrer la conformite de leurs produits via des evaluations de conformite et un marquage CE.

En France, l'ANSSI continue de renforcer son role de regulateur et d'accompagnateur, avec la mise a jour du referentiel de securite des systemes d'information des operateurs d'importance vitale (OIV) et la certification SecNumCloud pour les services cloud de confiance. Les RSSI doivent integrer ces evolutions reglementaires dans leur feuille de route de securite et s'assurer que leurs programmes de conformite couvrent l'ensemble des obligations applicables a leur secteur d'activite.

Conclusion : Anticiper pour Mieux Defendre

Le threat landscape 2025-2026 se caracterise par une convergence de menaces sophistiquees, industrialisees et de plus en plus alimentees par l'intelligence artificielle. Les douze categories de menaces analysees dans cette cartographie montrent que les attaquants exploitent simultanement la complexite croissante des infrastructures (cloud, conteneurs, hybride), les faiblesses structurelles des systemes d'identite (Active Directory, MFA), et la confiance accordee aux chaines d'approvisionnement logicielles et humaines.

Plusieurs tendances de fond se degagent pour les mois a venir. Le ransomware continuera de se sophistiquer, avec une adoption croissante de l'IA pour personnaliser les attaques et accelerer le chiffrement. Les APT etatiques — particulierement les groupes chinois comme Volt Typhoon — intensifieront leur pre-positionnement dans les infrastructures critiques occidentales, creant un risque latent de sabotage en cas d'escalade geopolitique. L'IA offensive atteindra un point d'inflexion ou les deepfakes et le phishing genere par IA deviendront indiscernables de communications legitimes sans outils de detection specialises. Les attaques sur la chaine d'identite se multiplieront a mesure que les organisations deploient le MFA, poussant les attaquants vers des techniques de contournement de plus en plus elaborees.

Face a ces menaces, la posture defensive doit evoluer vers un modele proactif, continu et adaptatif. Les organisations qui investiront dans les fondamentaux — authentification forte, durcissement des identites, sauvegardes resilientes, visibilite SOC, et formation des equipes — seront les mieux positionnees pour resister aux menaces de 2026 et au-dela. Le framework MITRE ATT&CK, utilise tout au long de cet article, offre le langage commun necessaire pour traduire ces menaces en controles de securite operationnels et en metriques de couverture mesurables.

La cybersecurite n'est pas une destination mais un processus continu d'adaptation. Les RSSI doivent adopter une approche de gestion des risques dynamique, alimentee par le renseignement de menace et validee par des tests reguliers, pour maintenir un niveau de protection proportionne a l'evolution rapide du paysage des menaces. L'investissement dans la detection et la reponse — plutot que dans la seule prevention — est desormais indispensable dans un environnement ou la question n'est plus « si » mais « quand » une compromission surviendra.

La cooperation entre organisations — via les ISAC sectoriels, les CERT nationaux comme le CERT-FR de l'ANSSI, et les plateformes de partage de renseignements de menace — constitue un levier essentiel pour amplifier l'efficacite des defenses individuelles. Le partage d'indicateurs de compromission (IOC), de regles de detection et de retours d'experience sur les incidents permet a chaque organisation de beneficier de l'intelligence collective et de se premunir contre des menaces deja observees chez ses pairs. Dans un paysage ou les attaquants mutualisent leurs ressources et partagent leurs outils via les modeles as-a-Service, les defenseurs doivent adopter une logique similaire de collaboration et de mutualisation pour retablir l'equilibre.